基于協(xié)議特征的網絡數(shù)據(jù)恢復方法
【專利摘要】本發(fā)明涉及互聯(lián)網【技術領域】���,具體公開了一種基于協(xié)議特征的網絡數(shù)據(jù)恢復方法�。本發(fā)明包括如下步驟:確定數(shù)據(jù)報文標識符與數(shù)據(jù)流標識符����;完成基于協(xié)議特征的數(shù)據(jù)恢復�����;數(shù)據(jù)流分類�;應用層解析;根據(jù)應用層解析的結果判斷該數(shù)據(jù)報文是否是傳輸某個數(shù)據(jù)流的首個報文���,如果是���,則為其創(chuàng)建一個新的數(shù)據(jù)流���,否則,丟棄該數(shù)據(jù)報文;數(shù)據(jù)報文重組����。與現(xiàn)有技術相比���,本發(fā)明的有益效果是:實現(xiàn)了網絡數(shù)據(jù)實時采集與恢復�����,為網絡管理、網絡安全監(jiān)控、以及網絡在線取證提供強大的技術支持�。
【專利說明】基于協(xié)議特征的網絡數(shù)據(jù)恢復方法
【技術領域】
[0001]本發(fā)明涉及互聯(lián)網【技術領域】���,具體公開了一種基于協(xié)議特征的網絡數(shù)據(jù)恢復方法。
【背景技術】
[0002]互聯(lián)網的迅速發(fā)展給社會生產和人們生活方式帶來了巨大的變革,用戶通過網絡��,可以快速地交互信息與數(shù)據(jù)�����,但在這個過程中也存著巨大的安全隱患�。網絡黑客常常利用互聯(lián)網來傳播各種惡意軟件,例如將木馬病毒等放在網頁中讓用戶下載�����,或者將它們附加在電子郵件中發(fā)送給用戶。因此有必要對網絡中傳輸?shù)臄?shù)據(jù)流進行監(jiān)控,分析網絡運行的狀態(tài)及用戶行為,幫助網絡管理員及時發(fā)現(xiàn)其中的安全問題��,保證網絡正常運行�����。
[0003]數(shù)據(jù)恢復是將網絡數(shù)據(jù)報文進行過濾和重組,恢復出這些數(shù)據(jù)報文所攜帶的原始數(shù)據(jù)流�����。目前的數(shù)據(jù)恢復方法主要根據(jù)各應用層協(xié)議通常使用的端口來判斷該數(shù)據(jù)包所使用的應用層協(xié)議��,例如80端口判斷為HTTP協(xié)議,21端口判斷為FTP協(xié)議�。這種方法的缺陷在于無法準確全面的分析出數(shù)據(jù)包的應用層協(xié)議,因為HTTP協(xié)議可以使用其它端口��,而80端口也可能被其它協(xié)議所使用����。特別是現(xiàn)在端口轉換技術的廣泛使用以及隱蔽通信技術的不斷提高,網絡中大部分流量已經不再使用標準端口進行傳輸。
[0004]針對現(xiàn)有數(shù)據(jù)恢復方法存在的問題��,本發(fā)明實現(xiàn)了一種基于協(xié)議特征的數(shù)據(jù)恢復方法���,該方法能夠根據(jù)應用層協(xié)議的特征將截獲的數(shù)據(jù)報文進行實時的緩存���、分析及重組�����,從而準確完整地恢復出數(shù)據(jù)流���。該方法廣泛應用于網絡管理、安全監(jiān)控�、網絡行為分析等領域���。
【發(fā)明內容】
[0005]本發(fā)明的目的是根據(jù)報文所使用的應用層協(xié)議特征對報文進行重組����,從而完整準確地恢復出報文所負載的數(shù)據(jù)流�����,為網絡管理、網絡安全監(jiān)控���、以及網絡在線取證提供技術支持��。
[0006]為了實現(xiàn)上述發(fā)明目的�����,本發(fā)明采用的技術方案如下:
[0007]基于協(xié)議特征的網絡數(shù)據(jù)恢復方法��,包括步驟:
[0008]1、確定數(shù)據(jù)報文標識符與數(shù)據(jù)流標識符����;
[0009]數(shù)據(jù)報文標識符:數(shù)據(jù)報文標識符定義為一個四元組DataPacketID =< SrcIP,SrcPort, DstIP, DstPort >�。
[0010]其中SrcIP�,SrcPort,DstIP�,DstPort分別表示數(shù)據(jù)報文的源IP地址�,源端口��,目的IP地址和目的端口。數(shù)據(jù)報文標識符可以通過解析報文的網絡層(IP)與傳輸層(TCP或UDP)頭部獲得��。
[0011]在網絡中�����,數(shù)據(jù)流通常被切分為多個數(shù)據(jù)報文進行傳送�,為了恢復出某個數(shù)據(jù)流���,必須獲得負載該數(shù)據(jù)流的所有報文。只有具有相同標識符的數(shù)據(jù)報文才能被用于重組某個數(shù)據(jù)流�,遺漏或誤判某個數(shù)據(jù)報文都會破壞恢復后數(shù)據(jù)流的正確性與完整性。[0012]數(shù)據(jù)流標識符:數(shù)據(jù)流標識符定義為一個四元組DataFlowID = < Protocol,FlowName, Timestamp���,DataPacketID
[0013]其中Protocol表示傳輸數(shù)據(jù)流的協(xié)議��,F(xiàn)lowName表示被傳輸數(shù)據(jù)流的名稱,Timestamp表示該輸數(shù)據(jù)流第一個數(shù)據(jù)包的截獲時間戳,DataPacketID表示傳輸該輸數(shù)據(jù)流的數(shù)據(jù)包報文的標識符��。數(shù)據(jù)流標識需要根據(jù)應用層協(xié)議的特點解析應用層數(shù)據(jù)獲得。
[0014]數(shù)據(jù)流標識符(DataFlowID)�����,用于標識兩臺計算機之間通過某種應用層協(xié)議傳輸?shù)臄?shù)據(jù)流。
[0015]2、完成基于協(xié)議特征的數(shù)據(jù)恢復��;
[0016]需要給內網的節(jié)點分配一個全局IP地址���。
[0017](I)數(shù)據(jù)采集�����。數(shù)據(jù)采集的主要任務就是獲取網絡中所有的數(shù)據(jù)報文。在這個步驟中,可以使用任何抓包軟件來截獲網絡中的數(shù)據(jù)報文�;
[0018](2)數(shù)據(jù)報文解析。數(shù)據(jù)采集過程在網絡中捕獲到的原始數(shù)據(jù)是一個以太網數(shù)據(jù)幀(報文格式如圖2所示)����。必須對以太網數(shù)據(jù)幀進行各層協(xié)議解析才能得到所需要的應用層報文����,執(zhí)行步驟如下:
[0019]①解析以太網數(shù)據(jù)幀。以目前使用最為廣泛的是DIX Ethernet V2協(xié)議為例�����,解析出來后���,其幀頭含有6個字節(jié)的源MAC地址字段、6個字節(jié)的目的MAC地址字段以及2個字節(jié)的網絡協(xié)議類型字段,幀尾的校驗序列是一個長度為4個字節(jié)的字段�;
[0020]②解析IP報文��。去掉以太幀頭部后的數(shù)據(jù)即為IP報文��,目前使用的IP協(xié)議主要是IPv4���。可以從IP報文的頭部中獲得IP頭部的長度���,報文源IP地址SrcIP以及目標IP地址DstIP �;
[0021]③解析TCP/UDP報文���。網絡傳輸層有TCP和UDP兩種協(xié)議���,需要根據(jù)不同協(xié)議類型分別進行解析����。以TCP報文為例,從TCP頭部獲得源端口��、目的端口���、序列號以及頭部的長度����。在執(zhí)行完TCP報文的解析后����,就可以獲得該數(shù)據(jù)報文的標識符DataPacketID =< SrcIP, SrcPort, DstIP, DstPort >。
[0022]3�、數(shù)據(jù)流分類���。數(shù)據(jù)流分類的主要作用是對一個新截獲到的數(shù)據(jù)報文進行分類�����。根據(jù)數(shù)據(jù)報文標識符DataPacketID對該報文進行分類�����,執(zhí)行步驟如下:
[0023](I)如果DaraPacketID屬于某個已存在數(shù)據(jù)流的后繼報文����,則將其插入該數(shù)據(jù)流的報文隊列中,轉步驟5;
[0024](2)否則�����,轉步驟4;
[0025]4�����、應用層解析。應用層協(xié)議解析是根據(jù)協(xié)議的特征對應用層報文進行分析��,判斷它們使用了哪個應用層協(xié)議���,并從中提取所需要的特征信息��,為其分配一個數(shù)據(jù)流標識符;
[0026]5�、報文的取舍��。根據(jù)應用層解析的結果判斷該數(shù)據(jù)報文是否是傳輸某個數(shù)據(jù)流的首個報文���,如果是�����,則為其創(chuàng)建一個新的數(shù)據(jù)流����,否則,丟棄該數(shù)據(jù)報文���;
[0027]6���、數(shù)據(jù)報文重組。數(shù)據(jù)報文重組主要負責提取數(shù)據(jù)包中的負載數(shù)據(jù)��,重組成完整的數(shù)據(jù)包并提取出其中的應用層報文����,然后根據(jù)應用層報文的標識符恢復出該報文負載的數(shù)據(jù)流。
[0028]與現(xiàn)有技術相比�,本發(fā)明的有益效果是:
[0029]1、實現(xiàn)了網絡數(shù)據(jù)實時采集與恢復,同時支持IPv4與IPv6網絡����,支持互聯(lián)網常見協(xié)議(如ICMP、ICMPv6����、TCP、UDP等)的分析與解碼����,支持HTTP、FTP��、SMTP�����、POP3等常見協(xié)議的網絡數(shù)據(jù)流分析�、網絡數(shù)據(jù)恢復����、網絡數(shù)據(jù)流實時同步播放、網絡數(shù)據(jù)流重放���、網絡數(shù)據(jù)檢索與歸檔�����;
[0030]2����、提供應用編程接口 API,可以方便地與入侵檢測系統(tǒng)����、攻擊源追蹤系統(tǒng)、在線取證系統(tǒng)等安全管理與安全監(jiān)控系統(tǒng)實現(xiàn)數(shù)據(jù)交換與信息通信��。本發(fā)明能夠為網絡管理�����、網絡安全監(jiān)控����、以及網絡在線取證提供強大的技術支持。
【專利附圖】
【附圖說明】
[0031]圖1為本發(fā)明的數(shù)據(jù)恢復方法流程圖�;
[0032]圖2本發(fā)明的數(shù)據(jù)報文格式示意圖;
[0033]圖3本發(fā)明PSNDR結構圖����;
[0034]圖4為本發(fā)明的主要工作流程圖��;
[0035]圖5為本發(fā)明PSNDR的報文解析流程示意圖�;
[0036]圖6為本發(fā)明PSNDR的數(shù)據(jù)交換與信息通信流程圖���。
[0037]圖7為本發(fā)明PSNDR的數(shù)據(jù)顯示子系統(tǒng)界面示意圖���;
[0038]圖8為本發(fā)明的實施圖例。
【具體實施方式】
[0039]下面結合【具體實施方式】對本發(fā)明的上述
【發(fā)明內容】
作進一步的詳細描述�。
[0040]但不應將此理解為本發(fā)明上述主題的范圍僅限于下述實施例。在不脫離本發(fā)明上述技術思想情況下���,根據(jù)本領域普通技術知識和慣用手段�,做出各種替換和變更�����,均應包括在本發(fā)明的范圍內����。
[0041]實施例
[0042]本實施例列舉的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法�,包括如下步驟:
[0043]1、基于協(xié)議特征的網絡數(shù)據(jù)恢復系統(tǒng)結構與工作流程;
[0044]具體實施過程中�����,我們在一臺Linux操作系統(tǒng)Cent0S6.0上安裝部署了基于本方法開發(fā)實現(xiàn)的基于協(xié)議特征的網絡數(shù)據(jù)恢復系統(tǒng)PSNDR����,如圖3所示,PSNDR主要由數(shù)據(jù)采集��、報文解析�、數(shù)據(jù)流分類、應用層解析�、報文重組、數(shù)據(jù)展示���、數(shù)據(jù)存儲��、以及管理控制等模塊組成�。如圖4所示���,實施過程主要包括以下步驟:
[0045](I)基于協(xié)議特征的網絡數(shù)據(jù)恢復系統(tǒng)啟動后�,開始監(jiān)聽網絡數(shù)據(jù)���,并進行初始化工作:開啟數(shù)據(jù)采集模塊��,為了提高工作效率��,系統(tǒng)使用Libpcap來截獲網絡中的數(shù)據(jù)報文����;初始化報文標識符集合S_DataPacketID ;初始化數(shù)據(jù)流標識符集合S_DataFlowID ;
[0046](2)通過管理控制單元的調度��,系統(tǒng)將采集到的原始數(shù)據(jù)交由報文解析模塊進行分析處理�;
[0047](3)如圖5所示,報文解析模塊對收到的報文進行解析����,依次解析出以太網數(shù)據(jù)幀、IP報文���、TCP/UPD報文�����,最后獲取數(shù)據(jù)報文的標識符�����;
[0048](4)報文解析模塊返回的報文標識符通過管理控制單元傳遞給數(shù)據(jù)流分類模塊作為報文分類的特征��。如果報文的標識符DataPacketID屬于報文標識符集合S_DataPacketID����,則DataPacketID屬于某個已存在數(shù)據(jù)流的后繼報文����,則將其插入該數(shù)據(jù)流的報文隊列中,轉步驟(6);否則��,需要對報文進行應用層解析�,轉步驟(5);
[0049](5)應用層解析����。應用層協(xié)議解析模塊的主要功能是根據(jù)協(xié)議的特征對應用層報文進行分析,判斷它們使用了哪個應用層協(xié)議���,并從中提取所需要的特征信息��,最后返回一個數(shù)據(jù)流標識符DataFlowID�����。應用層解析模塊主要實現(xiàn)HTTP�,F(xiàn)TP,SMTP和POP3等幾種常見的應用層協(xié)議的解析過程:
[0050]①HTTP協(xié)議的解析�����。根據(jù)HTTP協(xié)議的規(guī)定�,客戶端向服務器端發(fā)送GET請求開始文件的傳輸會話,而文件內容則伴隨著服務器端的響應發(fā)給客戶端���。本方法通過檢查報文的數(shù)據(jù)載荷頭部是否為“GET”來判斷該報文是否屬于HTTP文件傳送的起始會話過程����,然后將服務器端響應的數(shù)據(jù)流加入到緩存的流分類列表中����。如果反方向的數(shù)據(jù)報文負載具有形如“HTTP/*.*200”的頭部,則表示這些數(shù)據(jù)報文中負載了服務器所發(fā)送的文件的數(shù)據(jù)���,需要將這部分報文緩存起來用于隨后的數(shù)據(jù)重組��。轉步驟(6)�;
[0051]②FTP協(xié)議的解析�����。FTP協(xié)議將控制與數(shù)據(jù)分為兩個不同的網絡連接,通訊雙方在會話中協(xié)商數(shù)據(jù)連接的地址和端口號��,因此必須連續(xù)監(jiān)聽控制連接的若干次會話才能夠獲得充足的信息���。FTP傳輸文件的格式分為PORT和PASV兩種模式,需要分別進行解析����;
[0052]PORT模式的解析。PORT模式以載荷中“PORT”字符串開頭為特征����,其命令格式為“PORT hl,h2�,h3,h4�,pl,p2”(其中hl��,h2��,h3�����,h4分別對應服務器傳輸數(shù)據(jù)所使用的IP地址的四段十進制數(shù),pl, P2表示服務器傳輸數(shù)據(jù)的端口的高8位與低8位的十進制數(shù))�。解析器從PORT命令獲取網絡地址及端口等信息,然后通過監(jiān)聽該連接中的RETR或STOR命令就可以獲取所需的數(shù)據(jù)報文���。轉步驟(6)���;
[0053]PASV模式的解析。PASV模式以載荷中“PASV”字符串開頭為特征��,傳輸數(shù)據(jù)所使用的網絡地址與端口存在于PASV模式的227響應報文中��,其格式為“Entering PassiveMode (hi���,h2��,h3��,h4���,pl, p2) ”(其中參數(shù)的含義與PORT命令相同),此后客戶端將在這個網絡連接中會發(fā)送RETR或者STOR命令來上傳或下載某個文件。轉步驟(6)��。
[0054]③SMTP協(xié)議���。SMTP協(xié)議是郵件客戶端向服務器發(fā)送郵件所使用的協(xié)議��,根據(jù)協(xié)議的規(guī)定��,當客戶端向服務器端發(fā)送電子郵件時��,負載電子郵件數(shù)據(jù)的報文以“DATA”開頭�,郵件的正文包括附件都會在同一個連接中沿同一方向傳輸�。只需將該連接中的所有數(shù)據(jù)包文進行緩存后進行重組即可�����。轉步驟(6)���;
[0055]④POP3協(xié)議����。POP3協(xié)議是郵件客戶端向服務器端請求接收電子郵件時所使用的通訊協(xié)議�。當客戶端向服務器端發(fā)送接收請求時,請求報文以“Received”開頭,而隨后服務器端所發(fā)送過來的數(shù)據(jù)報文就負載了所請求的電子郵件的相關數(shù)據(jù)���。只需要將這些數(shù)據(jù)報文緩存后進行重組即可��。轉步驟(6)�。
[0056](6)根據(jù)解析結果判斷該數(shù)據(jù)報文是否是傳輸某個數(shù)據(jù)流的首個報文�����,如果是���,則為其創(chuàng)建一個新的數(shù)據(jù)流���,否則丟棄該數(shù)據(jù)報文;
[0057](7)數(shù)據(jù)報文重組�����。數(shù)據(jù)報文重組模塊主要負責提取數(shù)據(jù)包中的負載數(shù)據(jù)��,重組成完整的數(shù)據(jù)包并提取出其中的應用層報文���,然后根據(jù)應用層報文的標識符恢復出該報文負載的數(shù)據(jù)流���。由于IP協(xié)議提供的是不可靠的無連接服務���,經過網絡傳輸,IP報文有可能丟失而無法到達目的����,或者先發(fā)送的IP報文也有可能晚于后發(fā)送的IP分組到達。當一個IP報文PakN被截獲時�,可能出現(xiàn)以下幾種情況,需要分別進行處理:
[0058]①PakN是重復報文���。這種情況的處理最為簡單����,只需將重復報文PakN丟棄即可����;[0059]②PakN被截獲時���,其序號前一部分報文尚未被截獲����。對于這種情況,PakN應該暫時緩存�����,等待延遲報文被截獲�;
[0060]③PakN是按照預期順序被截獲的。這種情況處理起來相對復雜����,雖然新的報文無需重組,但是它可能會激活緩存中提前到達的分組�����,因此還需要對緩存中提前截獲的數(shù)據(jù)報文進行處理�,將其中序號符合重組要求的報文與之前的報文進行重組,直到獲得最后一個數(shù)據(jù)報文為止�����。
[0061](8)數(shù)據(jù)存儲與顯示��。傳送數(shù)據(jù)流的數(shù)據(jù)流結束后�,管理控制單元將數(shù)據(jù)報文重組模塊返回的恢復后的完整數(shù)據(jù)流交由數(shù)據(jù)存儲模塊進行處理,將重組后的報文數(shù)據(jù)從緩存中寫入磁盤���,就可以恢復出原始的數(shù)據(jù)流了�。同時,管理控制單元調用數(shù)據(jù)顯示模塊進行前端顯示�,如圖7所示為數(shù)據(jù)顯示子系統(tǒng)的一個截圖,只需要輸入��。
[0062]2���、基于協(xié)議特征的網絡數(shù)據(jù)恢復系統(tǒng)PSNDR運行實例
[0063]基于協(xié)議特征的網絡數(shù)據(jù)恢復系統(tǒng)PSNDR運行后����,前端系統(tǒng)主要包括協(xié)議分析與數(shù)據(jù)恢復管理子系統(tǒng)(如圖7所示)與數(shù)據(jù)查詢與顯示子系統(tǒng)(如圖8所示)��。
[0064]如圖7所示為PSNDR的協(xié)議分析與數(shù)據(jù)恢復管理子系統(tǒng)的管理界面�,用戶只需點擊左側窗格中的某個被監(jiān)測對象,就能在右窗格中看到非常翔實豐富的內容����,如原始數(shù)據(jù)��、各層協(xié)議解碼數(shù)據(jù)�、被監(jiān)測對象的訪問目標、發(fā)生時間等反應被監(jiān)測對象行為特征的數(shù)據(jù)�����。
[0065]如圖8所示為PSNDR的數(shù)據(jù)查詢與顯示子系統(tǒng)的主界面,當用戶瀏覽網頁時�����,PSNDR通過數(shù)據(jù)采集模塊捕獲用戶的網絡流量���,經后臺分析解碼系統(tǒng)處理后在前端顯示系統(tǒng)中同步顯示用戶所瀏覽的網頁��。
【權利要求】
1.基于協(xié)議特征的網絡數(shù)據(jù)恢復方法���,其特征在于,包括步驟: 確定數(shù)據(jù)報文標識符與數(shù)據(jù)流標識符����; 完成基于協(xié)議特征的數(shù)據(jù)恢復; 數(shù)據(jù)流分類����; 應用層解析; 報文的取舍�����; 數(shù)據(jù)報文重組。
2.根據(jù)權利要求1所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法�,其特征在于,所述數(shù)據(jù)報文標識符定義為一個四兀組 DataPacketID = < SrcIP, SrcPort, DstIP, DstPort >,其中SrcIP, SrcPort, DstIP, DstPort分別表示數(shù)據(jù)報文的源IP地址��,源端口��,目的IP地址和目的端口 ����;所述數(shù)據(jù)報文標識符可以通過解析報文的網絡層(IP)與傳輸層(TCP或UDP)頭部獲得。
3.根據(jù)權利要求1所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法�,其特征在于,所述數(shù)據(jù)流標識符定義為一個四兀組 DataFlowID = < Protocol, FlowName, Timestamp,DataPacketID >�����,其中Protocol表示傳輸數(shù)據(jù)流的協(xié)議,FlowName表示被傳輸數(shù)據(jù)流的名稱�����,Timestamp表示該輸數(shù)據(jù)流第一個數(shù)據(jù)包的截獲時間戳�,DataPacketID表示傳輸該輸數(shù)據(jù)流的數(shù)據(jù)包報文的標識符;所述數(shù)據(jù)流標識需要根據(jù)應用層協(xié)議的特點解析應用層數(shù)據(jù)獲得�����。
4.根據(jù)權利要求1所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法���,其特征在于�����,所述基于協(xié)議特征的數(shù)據(jù)恢復包括:數(shù)據(jù)采集和數(shù)據(jù)報文解析�;所述數(shù)據(jù)采集可以使用任何抓包軟件來截獲網絡中的數(shù)據(jù)報文��;所述`數(shù)據(jù)報文解析方包括:解析以太網數(shù)據(jù)幀���、解析IP報文����、解析TCP/UDP報文����。
5.根據(jù)權利要求4所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法,其特征在于�,所述以太網數(shù)據(jù)幀的解析方法為:以目前使用最為廣泛的是DIX Ethernet V2協(xié)議為例,解析出來后����,其幀頭含有6個字節(jié)的源MAC地址字段����、6個字節(jié)的目的MAC地址字段以及2個字節(jié)的網絡協(xié)議類型字段�����,幀尾的校驗序列是一個長度為4個字節(jié)的字段���。
6.根據(jù)權利要求4所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法�����,其特征在于���,所述IP報文的解析方法為:去掉以太幀頭部后的數(shù)據(jù)即為IP報文,目前使用的IP協(xié)議主要是IPv4�����,可以從IP報文的頭部中獲得IP頭部的長度����,報文源IP地址SrcIP以及目標IP地址DstIP。
7.根據(jù)權利要求4所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法,其特征在于���,所述TCP/UDP報文的解析方法為:以TCP報文為例���,從TCP頭部獲得源端口���、目的端口��、序列號以及頭部的長度�;在執(zhí)行完TCP報文的解析后�����,就可以獲得該數(shù)據(jù)報文的標識符DataPacketID =<SrcIP, SrcPort, DstIP, DstPort >����。
8.根據(jù)權利要求1所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法,其特征在于����,所述數(shù)據(jù)流分類方法為:根據(jù)數(shù)據(jù)報文標識符DataPacketID對該報文進行分類,如果DataPacketID屬于某個已存在數(shù)據(jù)流的后繼報文���,則將其插入該數(shù)據(jù)流的報文隊列中�,根據(jù)應用層解析的結果判斷該數(shù)據(jù)報文是否是傳輸某個數(shù)據(jù)流的首個報文,如果是�����,則為其創(chuàng)建一個新的數(shù)據(jù)流�����,否則����,丟棄該數(shù)據(jù)報文;如果DataPacketID非某個已存在數(shù)據(jù)流的后繼報文�,判斷它使用了哪個應用層協(xié)議,并從中提取所需要的特征信息���,為其分配一個數(shù)據(jù)流標識符��。
9.根據(jù)權利要求1所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法��,其特征在于���,所述應用層解析是根據(jù)協(xié)議的特征對應用層報文進行分析���,判斷它們使用了哪個應用層協(xié)議,并從中提取所需要的特征信息��,為其分配一個數(shù)據(jù)流標識符���;所述報文的取舍是根據(jù)應用層解析的結果判斷該數(shù)據(jù)報文是否是傳輸某個數(shù)據(jù)流的首個報文�����,如果是,則為其創(chuàng)建一個新的數(shù)據(jù)流��,否則��,丟棄該數(shù)據(jù)報文���。
10.根據(jù)權利要求1所述的基于協(xié)議特征的網絡數(shù)據(jù)恢復方法��,其特征在于�,所述數(shù)據(jù)報文重組主要負責提取數(shù)據(jù)包 中的負載數(shù)據(jù)��,重組成完整的數(shù)據(jù)包并提取出其中的應用層報文��,然后根據(jù)應用層報文的標識符恢復出該報文負載的數(shù)據(jù)流。
【文檔編號】H04L29/06GK103780610SQ201410021473
【公開日】2014年5月7日 申請日期:2014年1月16日 優(yōu)先權日:2014年1月16日
【發(fā)明者】劉武, 唐再良, 李敏, 浦志強 申請人:綿陽師范學院